17 stycznia 2025 r. zaczęły obowiązywać postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 14 grudnia 2022 r. Dotyczą one operacyjnej odporności cyfrowej sektora finansowego. W skrócie w życie weszło rozporządzenie DORA. Chociaż dotyczy ono podmiotów finansowych, to także ISP powinny wiedzieć, jakie obowiązki za tym idą. Wiąże się to z aneksowaniem umów dotyczących świadczenia usług na rzecz podmiotów finansowych.
Celem wprowadzenia przepisów DORA jest zwiększenie cyfrowej odporności podmiotów finansowych, co ma szczególne znaczenie w związku z rozwojem cyfryzacji na całym świecie.
DORA – kogo dotyczy?
DORA ma zastosowanie do szerokiego grona podmiotów. Są to zarówno instytucje kredytowe, jak i zakłady ubezpieczeń oraz zewnętrzni dostawcy usług ICT. To właśnie dlatego nowe przepisy obowiązują również przedsiębiorców telekomunikacyjnych.
Zewnętrzni dostawcy usług ICT zostali wyłączeni przez europejskiego ustawodawcę z podmiotów finansowych. Ale stanowią oddzielną kategorię podmiotów objętych przepisami DORA niejako pośrednio. Znaczenie ma bowiem komu dostarczają usługi ICT. Jeśli odbiorcami są podmioty finansowe, to przepisy DORA mają zastosowanie.
Dodatkową kwestią jest to, czy zgodnie z DORA dostawca jest zwykły czy kluczowy. To również zmienia zakres obowiązujących go przepisów.
Jednak tutaj zostaną omówione obowiązki dostawcy usług ICT uznanego za zwykłego.
Zewnętrzny dostawca usług ICT – definicja
Zewnętrzny dostawca usług ICT to przedsiębiorstwo świadczące usługi ICT.
Usługami ICT określa się usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego. Włączany do tego jest sprzęt komputerowy, wsparcie techniczne chociażby przez aktualizację oprogramowania czy też oprogramowania układowego. Z usług wyłączona jest tradycyjna telefonia analogowa.
– W dużym uproszczeniu można zatem powiedzieć, że w zakres „usług ICT” w rozumieniu DORA wejdą wszystkie usługi polegające na elektronicznym przesyłaniu, gromadzeniu czy przetwarzaniu danych, takie jak np. świadczenie usługi dostępu do Internetu. Należy jednak pamiętać, że z zakresu usług ICT wyłączone zostały usługi telefonii analogowej, tj. telefonii stacjonarnej – wyjaśnia Szymon Rakoczy, aplikant radcowski itBlegal.
Najwięcej obowiązków nałożono na podmioty finansowe. Jednym z nich jest zadbanie o odpowiednie postanowienia umowne z zewnętrznymi dostawcami ICT.
– Przepisy DORA zawierają minimalny katalog klauzul umownych, a raczej swoistych „obszarów tematycznych”, jakie ma uwzględniać umowa regulująca wzajemne prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług ICT, m. in. w zakresie konieczności zapewnienia określonego, minimalnego standardu świadczonych usług ICT bądź też w zakresie zapewnienia przez zewnętrznego dostawcę usług ICT pomocy podmiotowi finansowemu w przypadku wystąpienia incydentu związanego ze świadczonymi usługami ICT – mówi Szymon Rakoczy.
Katalog obligatoryjnych klauzul umownych może jednak zostać rozszerzony. Dotyczy to sytuacji, gdy podmiot finansowy zaklasyfikuje dana usługę ICT jako „wspierająca krytyczne lub istotne funkcje”.
Świadczenie usług ICT dla podmiotów finansowych to konieczność aneksowania umów
Wiele obowiązujących dotychczas umów na świadczenie usług ICT nie spełnia minimalnych standardów narzuconych przez DORA. Dlatego podmioty finansowe będą musiały aneksować umowy w tym zakresie.
– DORA określa pewne ramy, w jakie strony powinny ubrać umowę, jednak pozostawia im pewien luz decyzyjny co do jej kształtu i treści postanowień – co jest rozwiązaniem logicznym. Umowa powinna być dostosowana z jednej strony do potrzeb podmiotu finansowego, a z drugiej strony do możliwości zewnętrznego dostawcy usług ICT – wyjaśnia aplikant radcowski itBlegal.
W trakcie negocjowania umowy trzeba mieć na uwadze to, że będzie ona źródłem praw i obowiązków stron oraz podstawą do dochodzenia ewentualnych roszczeń. DORA przewiduje zastosowanie podczas aneksowania umów standardowych klauzul umownych opracowanych przez organy publiczne dla określonych usług. Niestety te nie zostały jeszcze opracowane przez Komisję Nadzoru Finansowego, która jest za to odpowiedzialna.
Dlatego na razie treść aneksów zależna jest od stron je sporządzających.
Podczas aneksowania umówi o świadczenie usług ICT można renegocjować warunki zawarte w umowie. Chociażby z uwagi na zwiększenie zakresu umownych obowiązków po stronie dostawcy usług ICT w stosunku do podmiotu finansowego.
Zarząd Związku Banków Polskich opracował wzór aneksów
W związku z wejściem w życie przepisów DORA i brakiem odpowiednich standardów przygotowanych przez KNF, odpowiednie rekomendacje wydał Zarząd Związku Banków Polskich. Opracował on wzór aneksów wdrażających wymogi przepisów DORA dla umów dot. świadczenia usług ICT. Dotyczą one tych z:
– zewnętrznymi dostawcami usług ICT wspierającymi krytyczne lub istotne funkcje;
– zewnętrznymi dostawcami usług ICT wspierającymi pozostałe funkcje.
– Jeżeli jeszcze nie spotkałeś się z aneksem stanowiącym wierną kopię tej Rekomendacji, to z pewnością czeka cię to w niedalekiej przyszłości, ponieważ podmioty finansowe niezwykle upodobały sobie ten wzór – zauważa Szymon Rakoczy.
Przed podpisaniem aneksu opartego na rekomendacjach ZZBP warto wiedzieć kilka rzeczy.
Rekomendacje nie mają mocy wiążącej. ZZBP nie podnosi odpowiedzialności za potencjalne szkody, które mogą powstać po podpisaniu aneksów zgodnie z jego wytycznymi. Dlatego rekomendacje są jedynie punktem wyjścia do negocjacji i nie ma obowiązku wiernego się ich trzymania.
Rekomendacje nie zawierają również „standardowych klauzul umownych. Nie są zatem równoznaczne z tymi, jakie wydać ma Komisja Nadzoru Finansowego.
Rekomendacje też są dość ogólne i przygotowane pod szeroki zakres usług ICT. Często nie są dostosowane do specyfikacji konkretnie świadczonej usługi ICT. Wiele zapisów może zatem być nieadekwatnych w przypadku konkretnej sytuacji czy nadmiarowych wobec niej.
Niezależnie od tego, czy dostawcy usług ICT podpisując aneksy będą się wspierać rekomendacjami ZZBP czy nie, aneksowanie umów na obecną chwilę jest niezbędne w wielu przypadkach.
– W związku z tym, że większość umów na świadczenie usług ICT nie zawiera klauzul wymaganych przez DORA, zewnętrzni dostawcy usług ICT muszą przygotować się na konieczność aneksowania umów. W przeciwnym razie podmiot finansowy w ramach szacowania ryzyka powinien ocenić, jak brak takich klauzul wpływa na ryzyko ich działalności i czy nadal mogą korzystać z usług danego dostawcy – przypomina aplikant radcowski itBlegal.
Przestrogi na dostawców usług ICT przed aneksowaniem umów
Przede wszystkim dostawca usług ICT nie powinien pozwolić się obarczyć odpowiedzialnością za przygotowanie aneksu. Taki obowiązek spoczywa na podmiocie finansowym. To on ma dostosować umowę do wymogów DORA. Operator może wykorzystać natomiast aneksowanie umowy do renegocjacji chociażby w obszarze podniesienia opłat z uwagi na większe obowiązki na nim spoczywające.
Nie warto także podpisywać propozycji przedstawionych przez podmiot finansowy automatycznie bez renegocjacji. Aneksy muszą zawierać postanowienia dostosowujące umowę do wymogów DORA, ale można przy okazji wpisać do nich dodatkowe postanowienia jak wyższa stawka za świadczoną usługę.
– Co więcej, umowa łącząca zewnętrznego dostawcę usług ICT i podmiot finansowy powinna zostać każdorazowo dostosowana pod specyfikę świadczonej usługi ICT, tj. powinna precyzować prawa i obowiązki stron, adekwatne do ryzyka/potrzeb podmiotu finansowego i możliwości ISP. To umowa tworzy prawa i obowiązki stron oraz będzie podstawą dochodzenia ewentualnych roszczeń – zauważa Rakoczy.
Na koniec jeśli operator nie jest w stanie sprostać oczekiwaniom podmiotu finansowego związanym z DORA chociażby w obszarze organizacyjno-technicznym, to nie musi podpisywać aneksu na nowych zasadach. Oczywiście w takim przypadku wiąże się to z zakończeniem współpracy z danym podmiotem finansowym.
Źródło: okablowani.pl
